Dünya Stuxnet Tehdidine Karşı Mücadele Veriyor.

[0sk1]

İran'ın nükleer programını yavaşlatmak ya da sabote etmek için üretilmiş olabileceği belirtilen Stuxnet adlı bilgisayar solucanında İsrail izine rastlandı.

Uzmanların maliyetinin 3 milyon doları bulabileceğini ve bunun da ancak bir devlet tarafından karşılanabileceğini savunduğu bir botnet olan Stuxnet'teki bir dosyanın adının, Eski Ahit'te yer alan bir hikaye olan Esther Kitabı'na gönderme olabileceği belirtiliyor. Söz konusu hikayede Yahudilerin, kendilerini yok etmek isteyen Perslilerin bir saldırısını engellemeleri anlatılıyor.

İranlı yetkililer, enerji santralleri, barajlar ve sanayi birimleri gibi altyapı tesislerinin sistemlerini hedef alan ilk kötü amaçlı yazılım olan Stuxnet’in ülke genelinde 30 bin sanayi bilgisayarını etkilediğini açıkladı. Yetkililer, İran’ın ilk nükleer santrali Buşehr nükleer tesisindeki bilgisayarların ise yazılımdan etkilenmediğini ifade etti.

DÜNYAYI KORKUTAN VİRÜS

Stuxnet yazılımının bir ülke veya büyük kaynaklara sahip bir grup için çalışan uzmanlar tarafından yazıldığı düşünülüyor. Analistler, Stuxnet yazılımının oluşturabilmesi için beş ile 10 tane çok iyi eğitim almış ve finanse edilmesi gereken hackerlara ihtiyaç olunduğunu belirtti.

İleri bilgisayar tekniklerine sahip birkaç devletin böyle bir yazılım üretebileceği ifade edilirken, bu ülkeler arasında Çin, İsrail, Rusya, İngiltere, Almanya ve ABD bulunuyor. Kötü amaçlı yazılımın şu ana kadar dünya çapında 45 bin bilgisayar sistemini etkilediği düşünülüyor. Yazılımın hedef aldığı sistemin üreticisi Siemens, şu ana kadar kötü amaçlı yazılımın 15 sanayi kontrol tesisine girmeye çalıştığı belirtti.

ABD Enerji Bakanlığı, geçtiğimiz ay yaptıkları uyarıda, altyapı tesislerinin bilgisayar sistemlerini kontrol altına almak için üretilen yazılım ile yapılacak saldırıların başarılı olması halinde “çok büyük fiziksel zarara ve kaybına neden olabileceğini” belirtmişti.

ABD Ulusal Güvenlik Kurumu ulusal siber güvenlik ve iletişim entegrasyon merkezi yetkilileri, Stuxnet üzerine çalışma başlattıklarını açıkladı. Alman yetkililer ise Stuxnet’i tespit ettiklerini ve yazılımı güvenli bir ağdan ABD’ye aktardıklarını belirtti. Virüsün kontrol altında tuttuğu belirtilen iki sunucunun ise Danimarka ve Malezya’da bulunduğu belirtildi. Bu sunucular, yaz başında yazılım tespit edildiği an kapatıldı.

AFP haber ajansının "Iran denies nuclear plant computers among 30,000 hit by worm" ve Reuters haber ajansının "Computer attacks linked to wealthy group or nation" adlı makalesinden derlenmiştir.

Kaynak hurriyet.com.tr & zaman.com.tr

[dadking]

türkiye'ye geldimi acaba?

[dadking]

türkiye'ye geldimi acaba?

[grasp]

rahat olun polat alemdar ve ekibi bu sorunun da üstesinden gelir

[yawuz58]

iran sitelerine girmezsek belki sorun olmaz

[KemalALKIN]

İran Amerikan Mallarını Ülkesine Sokmuyor O Zaman Windows İçin Üretilmemiş Olabilir Mi

Ya da Her Sisteme Etkisi Mi Var Acaba Umarım Bize Saldırmazlar

Bizim Ayyıldız Team Ve 1923Türk Gibi Ünlü Sanal Askerlerimiz Karşılık Verebilir Mi

Allah Sonumuzu Hayır Ede.

[ŞimşekAdam]

israil o kadar becerıksız kı agzıyla kus tutsa yıne beceremez

[xfailedkomplex]

Bana ilginç ve önemli geldi sizinle paylaşmak istadim

Stuxnet'i özel yapan ne?

Osman PAMUK, TÜBİTAK-UEKAE

28.09.2010

Stuxnet ilk defa haziran ayının ortalarında Beyaz Rusya'daki küçük bir firma olan VirusBlokAda tarafından tespit edildi. İlk incelemeler virüsün standart bir solucan olmadığını zaten gösteriyordu fakat karmaşık yapısı yüzünden uzayan incelemeler devam ettikçe işin boyutu gittikçe değişti. Özellikle solucanın çok karmaşık yapısı, kullandığı taktikler ve hedefi göz önüne alınınca, siber savaş adı altında yıllarca dillendirilen senaryoların aslında çok da gerçek dışı olmadığı ortaya çıktı. Tabii ki konunun bu boyutu incelemeye değer önemli bir konu olsa da, açıklığa kavuşması gereken çok fazla iddia ve yorum farklılığı olmasından dolayı biz bu yazımızda bu iddia ve yorumlardan ziyade bu solucanı gerçekten diğer zararlı yazılımlardan farklı ve üstün kılan özellikler neler onlardan bahsetmeye çalışacağız.

Solucanı inceleyen araştırmacılar tarafından ortak olarak dile getirilen ilk gerçek şu ki, stuxnet çok karmaşık bir yapıya sahip. Bu yüzden bu solucanın birçok farklı alandan uzmanların bir araya gelerek üzerinde uzun süre çalıştığı ve kayda değer bir bütçeye sahip bir projenin ürünü olduğu görüşü hâkim. Yine birçok araştırmacı tarafından bu tür bir projenin basit bir suç örgütünden ziyade devlet desteğindeki bir kuruluş tarafından gerçekleştirilmiş olması daha gerçekçi gözükmekte.

Stuxnet kendi karmaşık yapısı içinde hâlihazırda bilinen birçok zararlı yazılım yöntemini kullanmanın yanında daha önce hiçbir zararlı yazılımda olmayan dikkat çekici birkaç özelliğe daha sahip. Özellikle dört tane sıfır gün (zero-day) yani daha önceden bilinmeyen açıklığı beraber kullanması, kendini gizlemek için kullandığı çekirdek (kernel) sürücülerini rahat yükleyebilmek için güvenilir firmalardan çalınmış kök sertifikalar ile sürücülerini imzalaması ve en önemlisi hedef olarak sanayi ve enerji tesislerindeki fiziksel süreçleri gizlice değiştirmeye çalışması.

Sıfır gün açıklıklarının zararlı yazılımlar tarafından kullanılması aslında yeni bir yöntem değil, fakat daha önce hiçbir zararlı yazılımın dört tane sıfır gün açıklığını birden kullandığı tespit edilmemişti. Tek bir sıfır gün açıklığının tespit edilmesi ve farklı ayarlardaki değişik işletim sistemlerinin hepsinde düzgün bir şekilde çalışmasının sağlanması uzun bir inceleme ve test aşamasının yanında önemli bir uzmanlık gerektirmektedir. Bulunan bir açıklığın düzgün bir şekilde kullanılması önemlidir, aksi takdirde zararlı yazılımın tespiti çok daha kolaylaşacaktır. Bu açıdan bakıldığında dört yeni açıklığın birlikte sorunsuz olarak çalıştırılmasının ne kadar uzmanlık, inceleme ve test süreci gerektirdiği aşikârdır. Peki, nedir bu ilk defa stuxnet tarafından kullanılan ve stuxnet'in keşfi ile bizim de haberdar olduğumuz açıklıklar:

• MS10-046, Microsoft Windows Shell Kısayol İşleme Açıklığı: Asıl olarak işletim sistemindeki bir dizayn hatasından kaynaklanan bu açıklık sayesinde autorun açık olmasa bile bilgisayara takılan bir taşınabilir depolama aygıtındaki dosyaların ikonlarını göstermeye çalışan Windows Gezgini ve benzeri bir programın zararlı bir kodu çalıştırması sağlanabiliyor. Stuxnet’in de asıl olarak bu yöntemle birçok yere bulaştırıldığı düşünülüyor. Ayrıca kendini güncelleme yeteneğine sahip olan stuxnet’e bu özelliğin mart ayında eklendiği ve daha önceden solucanın taşınabilir cihazlardaki autorun özelliği ile bilgisayara bulaştığı düşünülmekte.

• MS10-061, Microsoft Windows Yazdırma Kuyruklayıcısı Açıklığı: Bu açıklığı kullandığı, stuxnet’in daha sonraki detaylı incelemelerinde açığa çıktı. Bu açıklığı kullanarak stuxnet bulaşmış olduğu bir bilgisayardan diğerine atlamayı başarabilmekte. Basitçe bu açıklık bir bilgisayara uzaktan yüksek yetkilerle dosya yüklenilmesine olanak sağlamakta. Daha sonra da bu dosya WBEM’in bir özelliği ile çalıştırılabilmekte. Önce şunu belirtmek gerekir ki bu açıklık yukarıdaki açıklık gibi bir taşınabilir aygıtın takılmasını gerektirmese de açıklıktan yararlanılabilmesi için gereken birçok şartın beraber bulunmasını gerektiği için kullanılabilmesi daha zor olan bir açıklık.

• Ve iki tane de hak yükseltme açıklığı: Stuxnet yukarıda bahsi geçen, yayılmak için yararlandığı açıklık yanında bulaştığı bir sistemde tam kontrolü elde edebilmek için kullandığı birisi XP, diğeri Vista üstü işletim sistemler için geçerli iki hak yükseltme açıklığından da faydalanmakta. Bu açıklıklar Microsoft tarafından hâlâ kapatılmayı bekliyor.

Bütün bu açıklıların yanında stuxnet eski olsa da gayet etkili olan, ünlü conficker solucanının yayılmak için kullandığı MS08-67 açıklığından da yararlanmakta.

Çekirdek rootkit yöntemleri Windows XP de olsun Windows 2003 de olsun zararlı yazılımların kendilerini virüs tespit programlarından korumak için kullandıkları en güçlü silahlardan birisidir. Fakat 64 bit Vista ve sonrası işletim sistemleri ile gelen KMCS (Kernel Mode Code Signing ) ve Patchguard gibi koruma mekanizmaları bu tür yöntemlerin kullanılmasını büyük derecede engelledi. Özelikle KMCS özelliği çekirdeğe yüklenecek bütün sürücülerin güvenilir sertifikalar ile imzalanmış olmasını şart koşmakta. 32 bit Vista ve üstü sistemlerde ise eskiye uyumluluğun korunabilmesi için bu korumalar tam olarak aktif hale getirilmese de güvenilir sertifikalar ile imzalanmamış çekirdek sürücülerinin çalıştırılması kısıtlanmış ve çalıştırılabildiği durumlarda da kullanıcılar uyarılmaktadır.

Fakat bu sistemlerin güvenilir bir sertifika ile imzalanmış kötü niyetli bir yazılımı, normal bir yazılımdan ayırt etme yeteneği bulunmamaktadır. İşte bu sebeple stuxnet çekirdek sürücüsü üreten iki tanınmış firmanın kök sertifikasını ele geçirip kendi kötü niyetli çekirdek sürücülerini imzalayarak bu korumaları sorunsuz bir şekilde aşmayı başarmaktadır. Dikkatli bir şekilde saklanması gerektiği gayet iyi bilinen bu kök sertifikaların nasıl ele geçirildiği ilginç bir konu olarak gözükse de maalesef bu konuda yeterince bilgi mevcut değil.

Peki, bu kadar hazırlık ve çabanın sonucunda yapılmak istenen ne? Stuxnet'in hedefi halihazırda piyasa da bulunan virüsler gibi banka veya online oyun hesap bilgilerinin çalınması, DDOS saldırıları gerçekleştirmek veya spam mail atabilmek için zombi bilgisayar ordusu kurmak ve kiralamak değil. Bunların hepsinden farklı olarak; su kaynakları, petrol platformları, enerji santralleri ve diğer sanayi tesislerinin kontrolü için kullanılan SCADA (Siemens supervisory control and data acquisition) sistemlerini ele geçirip fiziksel kontrol sistemlerinin çalışmasını değiştirmek. Stuxnet eğer bulaştığı bilgisayarda bir SCADA sistemi mevcutsa ilk önce mevcut projelerin kod ve dizaynlarını çalmaya çalışıyor, onun dışında asıl ilginç olan nokta ise stuxnet’in programlama yazılım ara yüzü vasıtasıyla PLC'lere (Programmable Logic Controllers) kendi kodlarını yüklemesi. Ayrıca yüklenen bu kodlar, stuxnet’in bulaşmış olduğu bir bilgisayardan PLC'lerdeki bütün kodlar incelenmek istendiğinde dahi görülemiyor. Böylelikle stuxnet PLC lere enjekte edilen kodları saklayabilen bilinen ilk rootkit unvanına da sahip oluyor.

Şekil Stuxnet Dağılımı

Bütün bu özelliklerinin yanında stuxnet’i ilginç hale getiren diğer bir özelliği ise virüsün yayılım alanı. Kaynaklara göre solucana en yoğun olarak İran’da, sonra Endonezya ve Hindistan’da rastlanmakta. Stuxnet’in asıl amacı neydi? Amacına ulaşabildi mi? Kimler tarafından hazırlandı? Ne zamandır bu solucan aktif olarak piyasada bulunuyordu? Bu sorunların cevapları solucan incelendikçe umarız daha fazla aydınlanacaktır. Ancak sonuç olarak şunu rahatlıkla söyleyebiliriz ki, stuxnet şimdiye kadar keşfedilebilmiş(!) hedefli saldırı türünün en güzel örneklerinden birisi.

Referanslar

•

•

•

•

•

•

•

•

•

•

•

•

•

Yorumlar (4)

1. 04-10-2010 02:46

Burada sorulması gereken aslında SCADA 'nın hangi platformlarda daha düzgün çalıştığıdır. Linux mu Windows mu? Ve acaba İran gibi bir ülke ulusal güvenliği için hala daha niçin windows kullanmaktadır bunu da anlamış değilim? Hem düşman ol hemde o ülkeye ait işletim sistemlerini kullan? Bence işin bu yönünden başlanırsa işin içinde microsoft ve SCADA dan bazı yetkililerin olduğu sav'ı gerçek olabilir. Control dot com sitesinde SCADA için linux mu windows mu tartışması yapılmış incelemenizi isterim.

Link :

Please register to see this content.

Yazı için teşekkürler.

örgürlük ve ulusal güvenlik için PARDUS

Bildir

Onur Karamanlı

2. 02-10-2010 23:45

elinde source cod ları olan varsa birde biz inceliyelim .

haber için teşekkür ederim,

iyi çalışmalar .

Bildir

sidar arda

3. 29-09-2010 14:41

öncelikle vermiş olduğunuz bilgiler için teşekkürler.Karspersky ceo'sunun dediği gibi önceden siber suçlar gibi kavramlar vardı, şimdidilerde artık yavaş yavaş siber terör, siber savaş gibi kavramlar çıkmaya başladı ve bu işleri kimin yaptırdığıda belli.Saygılarımla...

Bildir

İLHAMİ BOZTEPE

4. 28-09-2010 17:15

Bilgilendirdiğiniz için teşekkürler.. Türkiye'ye ulaşma veya bulaşma ihtimali nedir veya nezamandır ?

saygılarımla...

ilhami

Bildir

ilhami savaş

[xfailedkomplex]

düşman devletler bazen yapmak istediklerini önce karşı düşmanının beynine kabullendirmek ve bunu yapabileceğine inandırmak ister ve ondan sonrası kolay yani ilk önce pisikolojik etki ! buda bu ürünlerden olabilir olmayacak kadarda ucuk bi durum değil mümkündür tedbir alınmassa başa gelir her zaman tedbirli ve uyanık olmak lazım